微点交流论坛

标题: Ruby on Rails会话固定攻击 [打印本页]

作者: pioneer 时间: 2007-11-29 09:58 标题: Ruby on Rails会话固定攻击

来源

secunia.com

软件名

Ruby on Rails 1.x

描述

这可恶意进行会话固定攻击
lib/action_controller/cgi_process.rb从"DEFAULT_SESSION_OPTIONS"中删除":cookie_only"属性时可对使用受影响组件的应用程序进行会话固定攻击

该漏洞在V1.2.6之前的版本已经确认

解决方案

升级到V1.2.6.
http://www.rubyonrails.org/down

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn